HEALTH DATA HUB Présentation de l'étude de réversibilité 7 novembre 2019 - DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
HEALTH DATA HUB
Présentation de l’étude de réversibilité
7 novembre 2019
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
HUB – PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)
1
▪ Contexte
▪ Etude de réversibilité
▪ Capitalisation sur les travaux menés
2 2
Copyright © 2017 Capgemini. All rights reserved. 2▪ Contexte
▪ Etude de réversibilité
▪ Capitalisation sur les travaux menés
3
Copyright © 2017 Capgemini. All rights reserved. 3Le Health Data Hub a pour mission de permettre l’exploitation des données de santé françaises
▪ La France dispose d’une richesse unique au monde : un patrimoine de données de santé décrivant
l’intégralité de sa population
▪ Ces données, constituées grâce au financement public de la protection sociale, rassemble des
données à la fois administratives et cliniques
▪ Néanmoins, ces données sont actuellement sous-exploitées, les chercheurs français ont du mal à y
accéder et n’ont pas les moyens techniques pour mener à bien leurs travaux de recherche
▪ La primeur de ces innovations, que la France pourrait porter, est de plus en plus captée par des
puissances étrangères comme ce fut le cas pour les premiers algorithmes en imagerie médicale
Comme annoncé par le Président de la République, il devient nécessaire de mettre en place d’une plateforme pour faciliter l’accès et le traitement
des données de santé par les personnes habilitées
Les enjeux de cette plateforme sont :
SÉCURITÉ FONCTIONNALITÉ & PERFORMANCE COÛTS & DÉLAIS
▪ Solution agréée ou certifiée « Hébergeur de ▪ Service mature, se positionnant comme une ▪ Existence d’un véhicule contractuel
données de santé » référence internationale sur le marché directement accessible dans l’attente de la
▪ Arrêté relatif au référentiel de sécurité du ▪ Offre couvrant les besoins fonctionnels du stratégie Cloud française
Système National des Données de Santé Health Data Hub ▪ Solution permettant la mise en place rapide
de la plateforme de préfiguration
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 4La mise en place du Health Data Hub suit une feuille de route technique
Mars Avril Mai Juin Juillet Septembre Octobre Novembre Décembre Janvier Février (…)
PRISE DE DÉCISION CYCLE DE VIE DES PROJETS DE RECHERCHE
Homologation Livraison si autorisation
uniquement si audit Autorisation CNIL uniquement si CNIL obtenues &
Rédaction du rapport d’homologation plateforme homologuée
DÉFINITION DE LA Points de suivi de l’implémentation de la démarche de sécurité
technique positif homologation projet
STRATÉGIE D’HOMOLOGATION
Soumission du dossier projet à la CNIL Livraison des données
Homolog.
Délai légal : 2 mois renouvelable une fois Homologation de l’espace projet
MAÎTRISE DES RISQUES Audits orga. & SUIVI DE L’HOMOLOGATION
archi.
Mise à Jour de l’analyse Mise à Jour de l’analyse Suivi de l’homologation
Analyse de Risque de risque de risque
Analyse de risque EBIOS RM
Audits de conf. et tests de
pénétration
Analyse de Analyse de
risque risque ▪ Suivi des indicateurs de pilotage de la SSI
▪ Gestion des incidents de sécurité
RÉALISATION DE LA PLATEFORME DE PRÉFIGURATION Rapport des audits ▪ Suivi du plan d’amélioration continue
▪ Mise à jour de l’homologation
Spécifications / Conception Architecture /
générale Conception détaillée
Développement de la plateforme de préfiguration
Remédiation MCS
(intégration, développement et tests)
Autorisation ferme d’emploi
Légende :
Atelier réalisé avec la CNIL
Atelier réalisé avec l’ANSSI
Atelier réalisé avec la DINSIC
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 5Une étude de l’écosystème technique a été conduite pour identifier la solution d’hébergement
SÉCURITÉ FONCTIONNALITÉ & PERFORMANCE COÛTS & DÉLAIS
AZURE Solution sélectionnée
OVH Pas de GPU dans l’environnement certifié HDS Pas de véhicule contractuel existant
Coûts de réalisation chiffrés à 2,5 M€
SANTÉOS Durée estimée entre 5 et 8 mois, pas de véhicule
contractuel
AWS Pas agréé / certifié HDS Pas de véhicule contractuel
GCP Pas agréé / certifié HDS Pas de véhicule contractuel
Pas de CPU / GPU dimensionné pour la science
DOCAPOSTE des données
-
Dimensionnement ne permettant pas de Complexité de contractualisation élevée (institut
PADAWAN Pas agréé / certifié HDS
répondre aux besoins du HDH de recherche)
Dimensionnement ne permettant pas de
TERALAB Pas agréé / certifié HDS
répondre aux besoins du HDH
-
Pas de GPU, peu de latitude pour ajouter des
CASD Pas agréé / certifié HDS
fonctionnalités
Tarif par utilisateur élevé
Offre IaaS, délai d’intégration important
OBS Pas de GPU dans l’offre souveraine
Pas de véhicule contractuel existant
OUTSCALE Pas agréé / certifié HDS Pas de GPU Offre IaaS, délai d’intégration important
Etude terminée en février 2019, lors du choix de la solution
d’hébergement DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 6La DREES reste consciente des enjeux de réversibilité et de sécurité de la plateforme
LA PLATEFORME DE PRÉFIGURATION A ÉTÉ PENSÉE POUR ÊTRE LA PLUS RÉVERSIBLE POSSIBLE
▪ Les données stockées pourront être facilement transférées : les
coûts sont maîtrisés et aucun format propriétaire n’est utilisé (coût
d’export de données : ~0,07€ / Go soit ~7 k€ pour 100 To)
▪ Les algorithmes seront développés avec des technologies de
référence, indépendantes de la solution d’hébergement
▪ Les éléments de la plateforme seront en partie réutilisables
(architecture, scripts de déploiement, etc.)
ELLE A ÉTÉ CONÇUE POUR OFFRIR UN CONTEXTE DE SÉCURITÉ ADAPTÉ À L’HÉBERGEMENT DE DONNÉES DE SANTÉ
▪ La plateforme n’hébergera que des données de santé
pseudonymisées
▪ Elle repose sur un environnement certifié « hébergeur de
données de santé », selon les normes proposées par l’ASIP-Santé
▪ Les briques de sécurité active sont externalisées et reposent sur
des technologies certifiées par l’ANSSI ou Critères Communs pour
répondre aux exigences des textes applicables et des bonnes
pratiques
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 7Cette plateforme repose sur l’utilisation de services « PaaS », simplifiant fortement son intégration
Cat. Brique Description Cat. Brique Description
Espaces pour stocker les données et Structuration des espaces de stockage en
Stockage Stockage objet
éléments de la plateforme mode objet
Sauvegarde Espaces de stockage économique sans Structuration des espaces de stockage en
Stockage fichier
SERVICES (stockage) haute disponibilité mode fichier
“IAAS” Infrastructure
Puissance de calcul nécessaire à la Import Ingestion des données venant de
Calcul
plateforme et aux travaux de recherche plateforme l’extérieur de la plateforme
Déplacement et transformation des
Réseaux Capacités de transfert de données ETL
données (chiffrement, etc.)
Données
Gestion des Identification et gestion des accès des Gestion des événements générés par les
Evénements
identité éléments de la plateforme éléments de la plateforme
Général
Maintien en conditions opérationnelles
Supervision Workflow Séquençage et orchestration d’actions
des ressources, suivi des coûts
Infrastructure de Mise à disposition de bureaux virtuels Chiffrement Protection de la confidentialité des
bureaux virtuels maîtrisés pour les utilisateurs données données
SERVICES Organisation globale des données
Pare-feu Filtrage des flux réseaux Gouvernance
“PAAS” présentes sur la plateforme
Protection contre les éléments Travail Gestion de projet et automatisation de
Anti-virus
malveillants collaboratif l’intégration de codes
SERVICES Puits de traces et Centralisation, exploration et analyse des Traitement non Langage de programmation pour lancer
“PAAS” outil d’analyse traces distribué des traitements non distribués
Gestion de l’info. Traitement Langage de programmation pour lancer
Sécurité Analyse avancée des traces
de sécu. (SIEM) distribué des traitements distribués
Scellement des Structuration des données selon le
Conservation de l’intégrité des traces Projet Base relationnelle
traces modèle relationnel
Gestion des Structuration des données selon les
Gestion des tickets utilisateurs Base NoSQL
services info. modèles semi ou non relationnels
Gestion des clés Protection de l’intégrité et de la Visualisation graphique des données ou
Visualisation
de chiffrement confidentialité des clés de chiffrement résultats produits
Réseau virtuel Import / export Import ou export de données mis à
Mise en place de connexions sécurisées
privé (VPN) projet disposition aux projets
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 8▪ Contexte
▪ Etude de réversibilité
▪ Capitalisation sur les travaux menés
9
Copyright © 2017 Capgemini. All rights reserved. 9Une étude de réversibilité a été lancée en parallèle de la mission
1 2 3
Etude comparative des Mise en œuvre de la
Etude de réversibilité
solutions d’hébergement réversibilité
▪ Définition des critères de comparaison des ▪ Définition du scénario d’étude selon la ▪ Rédaction du plan de réversibilité
solutions d’hébergement solution d’hébergement sélectionnée ▪ Mise en œuvre du plan de réversibilité en
▪ Evaluation de chaque solution selon les ▪ Chiffrage du scénario défini adéquation avec la stratégie Cloud
critères définis ▪ Comparaison des coûts avec le scénario de nationale
▪ Sélection d’une solution d’hébergement la la plateforme de préfiguration
plus adaptée à l’étude de réversibilité ▪ Evaluation des économies réalisées.
Note sur le lancement du
Critères de comparaison Référence de comparaison
plan de réversibilité
Niveau de contribution à la stratégie
Cloud de l’Etat
La mise en œuvre du plan de réversibilité
Présence d’une certification / agrément s’effectuera dans un second temps, selon les
« Hébergeur Données de Santé » La plateforme de préfiguration sert de
retours d’expérience de la mission du
référence pour élaborer le scénario de
Health Data Hub et l’évolution des offres
Offre de service adaptée pour des réversibilité
françaises pour répondre aux différentes
traitements en science des données
contraintes de la plateforme
Efforts à fournir pour intégrer la couche
applicative
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 10Le scénario de réversibilité retenu présente certaines limites
Le scénario de réversibilité défini sur OVH est une adaptation … qui présente encore aujourd’hui certaines limitations aussi
du scénario de la plateforme de préfiguration… bien au niveau de la réalisation que du fonctionnement
▪ Le scénario de réversibilité a été construit en capitalisant sur le ▪ Expérience utilisateur dégradée :
scénario de la plateforme préfiguration, autrement dit, la ▪ L’utilisation de serveurs dédiés introduit un manque
plateforme doit couvrir : d’élasticité des ressources (e.g., processeurs graphiques)
limitant la performance lorsque la demande dépasse les
▪ Les mêmes fonctionnalités (e.g., traitements distribués)
capacités allouées en phase de fonctionnement
▪ Les mêmes besoins matériel (e.g., mise à disposition de ▪ Surcoût :
processeurs graphiques)
▪ Le manque de maturité de l’offre PaaS d’OVH induit
▪ Les mêmes exigences de sécurité (e.g., certification HDS) d’important coûts d’intégration en phase de réalisation
▪ Les mêmes principes d’architecture (e.g., le principe de ▪ Le provisionnement de ressources non exploitées induit des
défense en profondeur) coûts « non utiles » en phase de fonctionnement
▪ Délai supplémentaire :
▪ Certaines adaptations ont néanmoins dû être réalisées pour
▪ L’intégration des nombreuses solutions tierces induit des
fournir valider ces exigences :
délais supplémentaires en phase de réalisation
▪ Combinaison des offres Cloud privé et serveurs dédiés ▪ Le déploiement de ressources supplémentaires (e.g.,
d’OVH pour fournir un environnement « IaaS / PaaS » serveurs), pour satisfaire la demande, allonge les délais de
(Cloud privé) et donner accès à des GPU (serveurs dédiés) mise en fonctionnement
▪ Complexité de gestion de la sécurité :
▪ Intégration de nombreuses solutions tierces pour combler
le manque de maturité de l’offre PaaS d’OVH ▪ La multitude de solutions tierces intégrées limite la
cohérence des traces et impacte la traçabilité des actions
réalisées
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 11L’offre PaaS d’OVH présente un niveau de maturité plus faible que celui d’Azure (sept. 2019)
Cat. Brique Scénario Azure Scénario OVH* Cat. Brique Scénario Azure Scénario OVH* LÉGENDE
Ceph / OpenStack Swift Ceph / OpenStack Swift
Stockage Azure blob storage Stockage objet Azure Blob Storage Brique PaaS / IaaS
/ Scality / Scality
Sauvegarde Azure File / Azure Data
disponible dans l’offre
Azure Archive Ceph Stockage fichier Vmware de l’hébergeur et
(stockage) Lake Storage
Infra. sélectionnée
Cloud privé (OpenStack Import Azure Gateaway +
Calcul Azure VM SFTP
/ Vmware) plateforme Azure Data Factory
Azure Virtuel
Réseaux Vrack + NSX ETL Azure Data Factory Talend
Network
Données Brique PaaS / IaaS
Gestion des OpenIAM / AD /
identité
Azure AD
Shibboleth
Evénements Azure Data Factory RabbitMQ / Kafka / etc. disponible dans l’offre
Général de l’hébergeur mais
VMware operation
Supervision Azure Monitor Workflow Azure Data Factory Node red / BPM non sélectionnée
manager
Infrastructure de Chiffrement
Citrix Cloud OVH Cloud Desktop SDK Azure GPG
bureaux virtuels données
Pare-feu Fortinet & Palo Alto Fortinet & Palo Alto Gouvernance Azure Data catalog Informatica / Collibra
Brique PaaS / IaaS non
disponible nécessitant
Anti-virus Trend Micro Trend Micro
Travail
Azure DevOps
gitLab (hébergé et d’être entièrement
collaboratif sécurisé) intégrée
Puits de traces et Traitement non
Azure Log Analytics Logs Data Platform Azure DSVM + patch Master ad-hoc
outil d’analyse distribué
Gestion de l’info. Traitement
Sécurité Azure Sentinel Splunk Azure HDInsights Spark
de sécu. (SIEM) distribué
Scellement des Tiers archiveur de Tiers archiveur de Base PostgreSQL / Maria DB
Projet PostgreSQL managée
traces confiance confiance relationnelle / MySQL
L’intégration d’une brique technologique
Gestion des
Service Now (cible) Service Now Base NoSQL Azure CosmosDB
Clé valeur, Graphe, non présente dans l’offre PaaS de
services info. Document l’hébergeur implique une importante
Gestion des clés Azure Key QlikView, Tableau, charge d’intégration (coûts et délais)
HSM HSM Visualisation PowerBI
de chiffrement Vault Kibana, Grafana
Réseau virtuel Import / export
Azure VPN Gateway Gateway NSX Azure Explorer SFTP
privé (VPN) projet
* Exemples de technologies DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 12Les chiffrages d’OVH et d’Azure reposent sur les hypothèses de croissance identiques
Projets « de recherche » - type 1 Projection projet de référence
Hypothèses de croissance du nombre de projets type 1 et type 2
▪ Les projets de recherche de type 1 ont des besoins de
performance élevés pour réaliser des traitements avancés en 100
science des données 80
90
▪ Ces projets sont donc caractérisés par des besoins plus élevés en 70
80
capacité de stockage et puissance de calcul 60
70
▪ Il s’agit de projets de taille réduite avec une moyenne de 7
utilisateurs par projet 60 50
50
40
Projets « accès permanent » - type 2 40
Projets type 1
▪ Les projets de recherche de type 2 ont des besoins de 30
performance intermédiaires voire faibles Projets type 2
20
20 20 20
▪ Ces projets sont donc caractérisés par des besoins 15
10
intermédiaires en capacité de stockage et puissance de calcul 10 10
0
▪ Il s’agit de projets de taille plus grande avec une moyenne de 20 S S+1 S+2 S+3 S+4 S+5
utilisateurs par projet Nombre de projet type 2 Nombre de projet type 1
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 13Les résultats de l’étude de réversibilité justifient la stratégie en deux vitesses du Health Data Hub
Comparaison scénario OVH et scénario Azure Résultats
Coûts non cumulés Coûts cumulés
(barres) (traits)
6,0M€
phase de phase de
25,0 M€
Phase de réalisation :
réalisation fonctionnement
▪ Les coûts de réalisation du scénario OVH sont
5,0M€
supérieurs à ceux du scénario Azure (2,2M€
20,0 M€ vs. 0,9M€)
4,0M€
Azur ▪ La durée de la phase de réalisation du
e
OV 15,0 M€
scénario OVH est supérieure à celle du
H
scénario Azure (12 mois vs. 6 mois)
3,0M€
10,0 M€
Phase de fonctionnement :
2,0M€
▪ Les coûts de fonctionnement du scénario de
5,0 M€ réversibilité OVH sont en moyenne inférieurs
1,0M€
de 275 k€/S par rapport à ceux d’Azure
0,0M€ 0,0 M€
Coûts de S S+1 S+2 S+3 S+4 S+5 Point d’équilibre des coûts :
réalisation
• Le point d’équilibre des coûts se situe autour
Coûts OVH Coûts AZURE du semestre S+4
Temps de réalisation :
OVH : 12 mois
Azure : 6 mois Point d’équilibre des coûts
(hypothèse : équipe de 8 personnes)
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 14Le chiffrage de la plateforme est fortement dépendant du nombre de projets lancés
Nombre Hypothèses de croissance pour les projets type 1 et type 2
de projets
-20%
COMPARAISON 100
-20%
-20%
80
80 70
-20%
Définition de la « projection projet -20%
60 64
56
atténuée » : 60 50 48
40
▪ La projection projet atténuée représente 40
-20%
40
32
la projection projet de référence 20
diminuée de 20% 10 8 10 8 15 12 20 16 20 16 20 16
0
S S+1 S+2 S+3 S+4 S+5
Phase de fonctionnement, projection de Type 2 (base) Type 2 (- 20%) Type 1 (base) Type 1 (- 20%)
référence vs. projection atténuée :
Coûts non Coûts
Comparaison des coûts selon les scénarios de croissance
▪ Les coûts moyens de fonctionnement du cumulés
phase de phase de
cumulés
scénario de réversibilité OVH baissent de 6,0M€
réalisation fonctionnement
25,0M€
75 k€ par rapport à ceux issus de la 5,0M€ Déplacement du point d’équilibre des coûts
projection de référence (275 k€/S contre 20,0M€
200 k€/S) 4,0M€
15,0M€
3,0M€
Point d’équilibre des coûts, projection de
référence vs. projection atténuée : 2,0M€
10,0M€
▪ Le point d’équilibre des coûts issu de la 5,0M€
projection atténuée est retardé d’un 1,0M€
semestre par rapport à celui issu de la
0,0M€ 0,0M€
projection de référence Coûts de S S+1 S+2 S+3 S+4 S+5
réalisation Coûts OVH (base) Coûts AZURE (base) Coûts OVH (-20%)
Coûts Azure (-20%) Coûts OVH cum. (-20%) Coûts Azure cum. (-20%)
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB – Point d’équilibre des coûts
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 15Le chiffrage du scénario de réversibilité repose sur des coûts d’infrastructure, logiciels et humains
Scénario de réversibilité OVH
Présentation des coûts de réalisation Présentation des coûts de fonctionnement
2,5 M€ Coût de fonctionnement sur OVH
2,07 M€
2,0 M€ 5,0 M€
4,0 M€
1,5 M€ 3,0 M€
2,0 M€
1,0 M€
1,0 M€
0,5 M€ 0,0 M€
0,06 M€ 0,06 M€ S S+1 S+2 S+3 S+4 S+5
0,0 M€
Coût infrastructure Coût logiciel Coût humain Coût infrastructure Coût logiciel Coût humain
Coûts d’infrastructure1 : Coûts d’infrastructure1 :
▪ Les coûts d’utilisation de l’infrastructure sont proportionnels à la durée de ▪ Les coûts d’utilisation de l’infrastructure sont calculés sur la base d’une
réalisation et sont basés sur la tarification publique prévision d’utilisation de la plateforme et de la tarification publique
▪ Les coûts des matériels physiques (e.g., HSM) sont basés sur les coûts du
scénario de la plateforme de préfiguration Coûts logicels2 :
▪ Les coûts de support sont basés sur ceux du scénario de la plateforme de
Coûts logiciels2 : préfiguration
▪ Les coûts des licences logiciels et les coûts d’installation sont basés sur ceux
du scénario de la plateforme de préfiguration Coûts humains3 :
▪ Les coûts de gestion fonctionnelle et de MCS4 de la plateforme sont calculés
Coûts humains3 : en fonction du nombre d’utilisateurs
▪ Les coûts d’intégration sont calculés suivant l’identification des composants ▪ Les coûts de MCO5 relatifs à la gestion des machines virtuelles sont calculés
de l’architecture, l’analyse de la complexité de leur intégration et l’association selon le nombre de machines qu’un opérateur peut administrer
d’une quantité de jours homme à chaque niveau de complexité ▪ Les coûts de maintien à jour sont calculés sur la base des coûts d’intégration
1 – Coûts infrastructure : coûts des ressources « IaaS » (calcul, stockage, réseau)
2 – Coûts logiciels : coûts des ressources type « PaaS » (licences & support) DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB – 4 – MCS : maintien en condition de sécurité
3 – Coûts humains : coûts d’intégration et d’opération de la plateforme PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 5 – MCO : maintien en condition opérationnelle
16Les coûts du scénario de réversibilité peuvent être comparés aux coûts du scénario de la plateforme préfiguration
Coût total de réalisation sur OVH : 2,2 M€ Coût total de réalisation sur Azure : 0,9 M€
2,5 M€ 2,5 M€
2,07 M€
2,0 M€ 2,0 M€
1,5 M€ 1,5 M€
1,0 M€ 1,0 M€ 0,89 M€
0,5 M€ 0,5 M€
0,06 M€ 0,06 M€ 0,05 M€ 0,04 M€
0,0 M€ 0,0 M€
Coût infrastructure Coût logiciel Coût humain Coût infrastructure Coût logiciel Coût humain
Coût de fonctionnement sur OVH Coût de fonctionnement sur Azure
5,0 M€ 5,0 M€
4,5 M€
4,0 M€ 4,0 M€
3,5 M€
3,0 M€ 3,0 M€
2,5 M€
2,0 M€ 2,0 M€
1,5 M€
1,0 M€ 1,0 M€
0,5 M€
0,0 M€ 0,0 M€
S S+1 S+2 S+3 S+4 S+5 S S+1 S+2 S+3 S+4 S+5
Coût infrastructure Coût logiciel Coût humain Coût infrastructure Coût logiciel Coût humain
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 17▪ Contexte
▪ Etude de réversibilité
▪ Capitalisation sur les travaux menés
18
Copyright © 2017 Capgemini. All rights reserved. 18Le travail mené lors de la mission du Health Data Hub sert la mise en place de la plateforme cible
La plateforme de préfiguration assure la réversibilité des données stockées
Coûts de réalisation du scénario Azure et et des travaux de recherche qui y sont conduits
postes d’économie
1,2 M€
Lors d’un portage vers un autre hébergeur, des économies de transfert
importantes (environ 38%) sont permises grâce à :
1,0 M€ ▪ Coûts humains – architecture : la conservation d’une grande partie des
travaux d’architecture réalisés (estimation : 50% d’économie)
Architecture
▪ Coûts humains – développement : la réutilisation d’une partie des codes de
0,8 M€ déploiement des ressources non Azure (Citrix, Fortinet, Palo Alto, etc.)
▪ Coûts logiciels : le portage des licences logicielles achetées
▪ Coûts d’infrastructure : le portage de la boîte noire transactionnelle (HSM)
0,6 M€
Coûts
Ces économies sont néanmoins à relativiser étant donné la faible importance
Développement
humains
des coûts de réalisation par rapport à ceux de fonctionnement (avantage du
0,4 M€ cloud par rapport aux infrastructures dédiées)
Il est cependant important de noter que, même si cette réversibilité est possible,
0,2 M€ 370
k€
elle offrira actuellement un niveau de service inférieur à celui proposé par
(38%) Azure :
Coûts logiciels
▪ Une expérience utilisateur dégradée
Coûts d’infrastructure
0,0 M€
Coûts totaux de réalisation Coûts économisés ▪ Des coûts et des délais de réalisation plus importants sans compter les
procédures de marché
▪ Des processus de fonctionnement plus lourds
▪ Une gestion de la sécurité plus difficile à mettre en place
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 19Annexe
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
HUB – PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)
20OVH a été retenu parmi les solutions identifiées dans la stratégie Cloud nationale
▪ Acteur identifié dans la stratégie ▪ Acteur identifié dans la stratégie ▪ Acteur identifié dans la stratégie
STRATÉGIE Cloud de l’Etat Cloud de l’Etat Cloud de l’Etat
NATIONALE
▪ Certification HDS sur les Cloud ▪ Agrément HDS sur l’ensemble ▪ Renouvellement de l’agrément
privé et serveurs dédiés en 2019 des centres de données parisiens HDS en cours
COÛT ▪ Qualification SecNumCloud en en 2019 ▪ Qualification SecNumCloud en
cours pour l’offre Cloud privé cours pour l’offre Cloud Secteur
Public
▪ Processeur graphique disponible ▪ Processeur graphique disponible ▪ Processeur graphique disponible
dans l’offre serveur dédié
SÉCURITÉ certifiée HDS
▪ Offre principalement IaaS ▪ Offre principalement IaaS ▪ Offre principalement IaaS
évoluant sur du PaaS minimisant induisant des coûts d’intégration induisant des coûts d’intégration
FONCTIONNALITÉ les coûts d’intégration
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 21Annexe – Architecture envisagée chez OVH
Openshift … … … … … … Légende
Ressource
additionnell
e
Managé par le
Conteneu Conteneu
r r
HDH
Machine
virtuelle
Hyperviseur
Serveur hôte API S3
Managé par
…
Serveur hôte …
OVH
…
Espace de … Espace de Espace de
stockage stockage … stockage
Cloud privé Serveur dédié Stockage objet
SDDC Healthcare Haut de Gamme Big Data Cloud Disk Array
Vrack
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 22Annexe – Caractéristiques de l’offre OVH et hypothèses retenues sur le scénario associé
Thèmes Caractéristiques du l’offre / Hypothèses du scénario
OFFRE SERVEURS DÉDIÉS
PROCESSEUR GRAPHIQUE DE L’OFFRE SERVEUR DÉDIÉ ▪ Les serveurs dédiés Big Data ne peuvent embarquer qu’un processeur graphique dans l’offre OVH, à date
▪ Des cartes graphiques NVIDIA P100 ont été choisies pour les serveurs dédies Big Data
CONTENEURISATION ▪ L’architecture du scénario OVH repose sur l’utilisation du service PaaS Openshift qui embarque Kubernetes, un
logiciel d’orchestration de conteneurs
▪ L’hypothèse d’un nombre de 5 conteneurs par machine virtuelle permet d’optimiser les coûts
STOCKAGE OBJET ▪ L’exploitation du stockage objet, sur le scénario OVH retenu, repose notamment sur l’API S3 qui n’est pas active
dans l’offre OVH, à date
TARIFICATION ▪ Le scénario OVH a été construit en s’efforçant d’offrir une fonctionnalité comparable à la plateforme de
préfiguration
▪ Les prix utilisés dans le chiffrage du scénario OVH sont les prix publiques affichés sur le site, avant le 28/10/2019
(Sources : Stockage objet, Cloud privé, Espace de stockage additionnel Cloud privé, Serveur hôte additionnel Cloud
privé, OVH Cloud Connect, Serveur dédié Big Data, Cloud desktop infrastructure, Openshift)
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 23Annexe – Hypothèses sur les coûts de réalisation et coûts de fonctionnement du scénario OVH
Thème Hypothèses / Caractéristiques
COÛTS D’INTÉGRATION ▪ Les coûts d’intégration ont été calculés en fonction d’un TJM de 1000 € et d’un nombre de jours nécessaires pour l’intégration des différentes briques
▪ Les jours nécessaires ont été déterminés selon la complexité d’intégration : Simple, 5 jours ; Moyen 10 jours ; Complexe, 20 jours; Très complexe, 40 jours
▪ Les coûts totaux d’intégration prennent en compte un facteur multiplicateur (3x) afin de modéliser l’ensemble des étapes de réalisation, à savoir : la spécification du besoin, la
conception technique, les coûts de développement, les tests unitaire, les tests d’intégration, l’optimisation de la performance, la période de recette, et la gestion de projet (NB : les
coûts liés au maintien en condition opérationnelle et maintien en condition de sécurité ne sont pas inclus)
NOMBRE D’ÉQUIVALENT ▪ Une moyenne de 8 équivalents temps plein a été retenue pour le développement de la plateforme en phase d’intégration
TEMPS PLEIN EN PHASE
D’INTÉGRATION
COÛTS ▪ Des coûts supplémentaires sont ajoutés au chiffrage d’OVH pour modéliser la différence de complexité de la maintenance des systèmes OVH par rapport à Azure
SUPPLÉMENTAIRES LIÉS À ▪ L’hypothèse retenue est que ces coûts annuels représentent 20% des coûts totaux de réalisation
LA MCO ET MCS
NOMBRE ▪ Chaque utilisateur et opérateur de la plateforme utilise une infrastructure de bureau virtuel dédiée associée à une machine virtuelle
D’INFRASTRUCTURE DE
BUREAU VIRTUEL
ESPACE OPÉRATEUR ▪ 17 machines virtuelles d’administration et 3 conteneurs d’administration ont été dénombrés, en plus des machines virtuelles lié au nombre d’opérateurs
▪ Un besoin d’une capacité de stockage de 100 TB a été retenu
▪ Les traitements réalisés sur l’espace opérateur ne nécessitent pas de recourir à un serveur Big Data
ESPACE PROJET ▪ 2 machine virtuelles et 5 conteneurs ont été dénombrés par espace projet, en plus des machines virtuelles lié au nombre d’utilisateurs
▪ Un besoin d’une capacité de stockage de 10 TB a été retenu
▪ Les caractéristiques des projets de type 1 sont : une moyenne de 7 utilisateurs, une quantité moyenne de 5 GPU allouées à l’heure, une quantité moyenne de 2 GPU allouée au
mois (NB : l’offre OVH ne permet pas, à date, une tarification des serveurs dédiés Big Data à l’heure)
▪ Les caractéristiques des projets de type 2 sont : une moyenne de 20 utilisateurs, une quantité moyenne de 3 GPU allouées à l’heure, une quantité moyenne de 0 GPU allouée au
mois (NB : l’offre OVH ne permet pas, à date, une tarification des serveurs dédiés Big Data à l’heure)
CROISSANCE DES COÛTS ▪ Le salaire annuel d’un opérateur est estimé à 100k€
DES OPÉRATEURS ▪ Un seul superopérateur est nécessaire
▪ Une redondance de chaque type d’opérateur est prise en compte (hors superopérateur)
▪ Un opérateur plateforme peut gérer 350 machines virtuelles (contre 1000 machines virtuelles sur le scénario Azure)
▪ Un opérateur données peut gérer un maximum de 20 projets
▪ Un opérateur projet peut gérer un maximum de 150 utilisateurs
▪ Un opérateur sécurité peut gérer un maximum de 150 utilisateurs
Phase de réalisation Phase de fonctionnement DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 24Annexe – Etude de réversibilité : externalisation des services de la plateforme de préfiguration
Catégorie Brique Actuel Cible Valeur/Criticité* Complexité*
Serverless Azure Function Application custom 2 2
Batch Azure Batch Application custom 2 3
Général
Sauvegarde Azure Archive Application custom 1 2
Supervision (MCO) Azure Monitor Centréon 3 2
Accès VDI Citrix Cloud Citrix Cloud 0 5
Droits / Authentification Azure AD AD/LDAP 5 3
Réseau / Firewall Fortinet / Palo Alto Fortinet / Palo Alto 0 0
Anti-virus / EDR Trend Micro Trend Micro 0 0
SIEM Sentinel Splunk / ?? 5 2
Sécurité Logs Log Analytics Splunk / ELK 5 4
Scellement des logs Tiers archiveur de confiance Tiers archiveur de confiance 0 0
ITSM e-mail ServiceNow 4 3
SSO Azure AD & environnement Azure AD & écosystème cible 5 5
Gestion des clés / HSM Azure Key Vault + nCipher nCipher & écosystème 5 5
VPN Azure VPN gateway Cisco, FS, etc. 4 1
Stockage Objet Blob Storage Solution hébergeur 0 N/A
ETL Data Factory Talend, etc. 4 3
File Storage Azure File / ADLS HDFS 5 4
Données
Workflow Logic App Node red / BPM 1 3
Chiffrement données SDK Azure Lib Open source 2 2
Gouvernance Azure data catalog Informatica / Collibra 4 1
DevOps Azure DevOps GitLab 2 1
Execution non distribué Azure VMDS + patch Master ad-hoc 1 2
Execution distribué HDInsights Hortonworks 0 4
Base SQL Postgres managée Postgres 0 3
Projet
Base NoSQL CosmoDB Clé valeur, Graphe, Document à la demande à la demande
Visualisation PowerBI QlikView, Tableau 2 2
Ingestion données Azure explorer SFTP 1 2
CI / CD plateforme gitLab (git) (SaaS) gitLab (hosted + secured) 5 1
* Note de 0 à 5
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA HUB –
PUBLICATION EN LIGNE (article L.312-1-1 du CRPA) 25Merci
DOCUMENT ADMINISTRATIF COMMUNIQUE PAR LE HEALTH DATA
HUB – PUBLICATION EN LIGNE (article L.312-1-1 du CRPA)
26Vous pouvez aussi lire
